发布日期:2010-10-12
更新日期:2010-10-21
受影响系统:
Sun JDK 1.6.x
Sun JDK 1.5.x
Sun JRE 1.6.x
Sun JRE 1.5.x
Sun JRE 1.4.x
Sun SDK 1.4.x
不受影响系统:
Sun JDK 1.6.0_22
Sun JDK 1.5.0_26
Sun JRE 1.6.0_22
Sun JRE 1.5.0_26
Sun JRE 1.4.2_28
Sun SDK 1.4.2_28
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 43979,43971,43965,44017,44016,44014,44013,44012,44011,44009,43999,43994,43992,43988,43985,44040,44038,44035,44032,44030,44028,44027,44026,44024,44023,44021,44020
CVE ID: CVE-2009-3555,CVE-2010-1321,CVE-2010-3541,CVE-2010-3548,CVE-2010-3549,CVE-2010-3550,CVE-2010-3551,CVE-2010-3552,CVE-2010-3553,CVE-2010-3554,CVE-2010-3555,CVE-2010-3556,CVE-2010-3557,CVE-2010-3558,CVE-2010-3559,CVE-2010-3560,CVE-2010-3561,CVE-2010-3562,CVE-2010-3563,CVE-2010-3565,CVE-2010-3566,CVE-2010-3567,CVE-2010-3568,CVE-2010-3569,CVE-2010-3570,CVE-2010-3571,CVE-2010-3572,CVE-2010-3573,CVE-2010-3574
Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。
Sun Java中存在多个安全漏洞,用户受骗访问了恶意网页就会导致拒绝服务、泄露敏感信息、操控某些数据、绕过安全限制或完全入侵用户系统。
1) 2D组件中的漏洞可能允许执行任意代码。
2) JPEGImageWriter.writeImage()函数在处理JPEG图形维度时的整数溢出可能导致执行任意代码。
3) 颜色配置文件解析器在处理ICC配置文件设备信息标签和ICC配置文件Unicode描述标签结构时的整数溢出可能导致执行任意代码。
4) CORBA、JRE、Java Web Start、Sound、Swing、Deployment Toolkit、JSSE TLS/SSL、Networking、JNDI等组件中的错误可能允许执行任意代码或读取某些数据。
5) com.sun.jnlp.BasicServiceImpl类检索安全策略时的错误可能导致删除沙盒限制。
6) JP2IEXP.dll在拷贝docbase applet参数时存在栈溢出。
7) HeadspaceSoundbank.nGetName()函数在解析BANK记录时的符号错误可能导致缓冲区溢出。
8) ActiveX插件没有正确的初始化窗口句柄,可能导致执行任意代码。
9) Kerberos GSS-API中的空指针应用可能导致拒绝服务。
10) Java运行时环境中的错误可能允许不可信任的Applet绕过同源策略访问其他域的Cookie。
建议:
--------------------------------------------------------------------------------
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(javacpuoct2010)以及相应补丁:
javacpuoct2010:Oracle Java SE and Java for Business Critical Patch Update Advisory - October 2010
链接:http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2010:0768-01)以及相应补丁:
RHSA-2010:0768-01:Important: java-1.6.0-openjdk security and bug fix update
链接:https://www.redhat.com/support/errata/RHSA-2010-0768.html